TiDB 用户账户管理

    TiDB 将用户账户存储在 mysql.user 系统表里面。每个账户由用户名和 host 作为标识。每个账户可以设置一个密码。

    通过 MySQL 客户端连接到 TiDB 服务器,通过指定的账户和密码登录:

    使用缩写的命令行参数则是:

    1. mysql -P 4000 -u xxx -p

    添加用户

    添加用户有两种方式:

    • 通过标准的用户管理的 SQL 语句创建用户以及授予权限,比如 CREATE USERGRANT
    • 直接通过 INSERTUPDATEDELETE 操作授权表。

    推荐使用第一种方式。第二种方式修改容易导致一些不完整的修改,因此不推荐。还有另一种可选方式是使用第三方工具的图形化界面工具。

    1. CREATE USER [IF NOT EXISTS]
    2.     user [auth_spec] [, user [auth_spec]] ...
    1. auth_spec: {
    2.   | IDENTIFIED BY PASSWORD 'hash_string'
    3. }
    • IDENTIFIED BY 'auth_string':设置登录密码时,auth_string 会被 TiDB 经过加密存储在 mysql.user 表中。
    • IDENTIFIED BY PASSWORD 'hash_string':设置登录密码,hash_string 是一个类似于 *EBE2869D7542FCE37D1C9BBC724B97BDE54428F1 的 41 位字符串,会被 TiDB 直接存储在 mysql.user 表中,该字符串可以通过 SELECT password('auth_string') 加密得到。

    TiDB 的用户账户名由一个用户名和一个主机名组成。账户名的语法为 'user_name'@'host_name'

    • user_name 大小写敏感。
    • host_name 可以是一个主机名或 IP 地址。主机名或 IP 地址中允许使用通配符 %_。例如,名为 '%' 的主机名可以匹配所有主机,'192.168.1.%' 可以匹配子网中的所有主机。

    host 支持模糊匹配,比如:

    1. CREATE USER 'test'@'192.168.10.%';

    如果没有指定 host,则默认是所有 IP 均可登录。如果没有指定密码,默认为空:

    1. CREATE USER 'test';

    等价于:

    1. CREATE USER 'test'@'%' IDENTIFIED BY '';

    下面的例子用 CREATE USERGRANT 语句创建了四个账户:

    1. GRANT ALL PRIVILEGES ON *.* TO 'finley'@'localhost' WITH GRANT OPTION;
    1. CREATE USER 'finley'@'%' IDENTIFIED BY 'some_pass';
    1. GRANT ALL PRIVILEGES ON *.* TO 'finley'@'%' WITH GRANT OPTION;
    1. CREATE USER 'admin'@'localhost' IDENTIFIED BY 'admin_pass';
      1. CREATE USER 'dummy'@'localhost';

      使用 SHOW GRANTS 可以看到为一个用户授予的权限:

      1. SHOW GRANTS FOR 'admin'@'localhost';

      使用 语句可以删除用户,例如:

      1. DROP USER 'test'@'localhost';

      这个操作会清除用户在 mysql.user 表里面的记录项,并且清除在授权表里面的相关记录。

      保留用户账户

      TiDB 在数据库初始化时会生成一个 'root'@'%' 的默认账户。

      设置密码

      TiDB 将密码存在 mysql.user 系统数据库里面。只有拥有 CREATE USER 权限,或者拥有 mysql 数据库权限(INSERT 权限用于创建,UPDATE 权限用于更新)的用户才能够设置或修改密码。

      • CREATE USER 创建用户时可以通过 IDENTIFIED BY 指定密码:

        1.   CREATE USER 'test'@'localhost' IDENTIFIED BY 'mypass';

      • 为一个已存在的账户修改密码,可以通过 SET PASSWORD FOR 或者 ALTER USER 语句完成:

        1.   SET PASSWORD FOR 'root'@'%' = 'xxx';

        或者:

        1.   ALTER USER 'test'@'localhost' IDENTIFIED BY 'mypass';

      1. 修改配置文件,在 security 部分添加 skip-grant-table

        1.  [security]
        2.  skip-grant-table = true

      2. 然后使用 root 登录后修改密码:

        1.  mysql -h 127.0.0.1 -P 4000 -u root

      如果授权表已被直接修改,运行如下命令可使改动立即生效:

      1. FLUSH PRIVILEGES;